CVE-2019-11001

Reolink Multiple IP Cameras

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-12-18

Официальное описание

Reolink RLC-410W, C1 Pro, C2 Pro, RLC-422W, and RLC-511W IP cameras contain an authenticated OS command injection vulnerability. This vulnerability allows an authenticated admin to use the "TestEmail" functionality to inject and run OS commands as root.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2019-11001 представляет собой критическую уязвимость типа OS Command Injection (внедрение команд ОС) в веб-интерфейсе управления камерами Reolink. Проблема локализована в функции проверки настроек электронной почты (TestEmail).

Из-за недостаточной фильтрации входных данных в поле "Sender" или "Receiver", аутентифицированный пользователь с правами администратора может внедрить метасимволы оболочки (например, ;, &, |). Поскольку веб-сервер устройства запущен от имени суперпользователя, внедренные команды исполняются в контексте root, что позволяет злоумышленнику получить полный контроль над операционной системой камеры, изменять прошивку или использовать устройство как плацдарм для атак внутри сети.

Как исправить

Основным и единственным надежным способом устранения данной уязвимости является обновление микропрограммы (firmware) до версии, в которой реализована корректная валидация параметров функции TestEmail.

  1. Перейдите в центр загрузок на официальном сайте Reolink.
  2. Найдите вашу модель устройства (RLC-410W, C1 Pro, C2 Pro, RLC-422W или RLC-511W).
  3. Скачайте последнюю доступную версию прошивки (выпущенную после апреля 2019 года).
  4. Установите обновление через веб-интерфейс или клиентское приложение Reolink:
  5. Зайдите в Settings -> System -> Maintenance.
  6. Выберите Upgrade Firmware и укажите путь к скачанному файлу.

Для проверки текущей версии прошивки через API (если доступно), можно использовать запрос:

curl -s -k -X POST -d '[{"cmd":"GetDevInfo","action":0,"param":{}}]' "https://<IP_ADDRESS>/cgi-bin/api.cgi?user=<ADMIN>&password=<PASS>"

Временные меры

Если немедленное обновление прошивки невозможно, необходимо минимизировать риски с помощью следующих шагов:

  1. Изоляция сети: Разместите камеры в отдельном VLAN без прямого доступа к критическим узлам корпоративной сети и ограничьте им выход в интернет.
  2. Ограничение доступа: Настройте правила Firewall (ACL), разрешающие доступ к веб-интерфейсу камер (порты 80, 443) только с доверенных IP-адресов администраторов.
iptables -A INPUT -p tcp -s <TRUSTED_IP> --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j DROP
  1. Смена стандартных учетных данных: Убедитесь, что пароль администратора является сложным и уникальным, чтобы предотвратить несанкционированный вход, необходимый для эксплуатации этой уязвимости.
  2. Отключение неиспользуемых служб: Если вы не используете уведомления по почте, не вводите данные в соответствующие поля и не запускайте тест.
  3. Мониторинг трафика: Настройте IDS/IPS (например, Snort или Suricata) для обнаружения подозрительных символов в POST-запросах к api.cgi.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей